Configurare il limite della frequenza di autenticazione SMB per Windows

Il limite della frequenza di autenticazione SMB è una funzionalità del server SMB per Windows Server e il client Windows progettata per risolvere gli attacchi di forza bruta contro l'autenticazione. Gli attacchi di forza bruta contro l'autenticazione colpiscono il server SMB con più tentativi di indovinare nome utente e password al secondo. A partire da Windows Server 2025 e Windows 11, versione 24H2, il limite di velocità di autenticazione SMB è abilitato per impostazione predefinita. Il ritardo predefinito tra ogni tentativo di autenticazione basato su NTLM o PKU2U non riuscito è di 2 secondi e può essere configurato. In questo articolo. Informazioni sul funzionamento del limite della frequenza di autenticazione SMB e su come configurarlo.

Se un amministratore consente l'accesso al servizio server SMB tramite Windows Firewall per aprire o copiare file remoti, un utente malintenzionato può usare l'accesso SMB come modo per tentare l'autenticazione. Conoscendo un nome utente, un utente malintenzionato può inviare accessi NTLM locali o basati su Active Directory a un computer usando diversi metodi. La frequenza dei tentativi di indovinare le password può variare da decine a migliaia di tentativi di accesso al secondo. Per informazioni su NTLM, vedere Panoramica di NTLM.

Se l'organizzazione non dispone di software di rilevamento delle intrusioni o non imposta criteri di blocco delle password, un utente malintenzionato può indovinare la password di un utente. Anche se il server SMB viene eseguito per impostazione predefinita in tutte le versioni di Windows, non è accessibile per impostazione predefinita, a meno che la regola del firewall non sia consentita. Un utente finale che disattiva il firewall e aggiunge un dispositivo a una rete non sicura riscontra un problema simile.

Funzionamento del limite della frequenza di autenticazione SMB

Il servizio server SMB usa il limite della frequenza di autenticazione per implementare un ritardo di 2 secondi tra ogni tentativo di autenticazione basato su NTLM o PKU2U non riuscito. Ciò significa che se un utente malintenzionato ha già inviato 300 tentativi di forza bruta al secondo da un client per 5 minuti (90.000 password), lo stesso numero di tentativi richiederebbe ora almeno 50 ore. Come con tecniche di difesa avanzate simili, lo scopo del limite della frequenza di autenticazione SMB è quello di aumentare il costo dell'attacco a un computer Windows fino a indurre l'utente malintenzionato a desistere.

Prerequisiti

Prima di poter configurare il limite della frequenza di autenticazione SMB, è necessario:

• Un server SMB in esecuzione in uno dei sistemi operativi seguenti.
  • Windows Server 2025.
  • Windows 11, versione 24H2 o successiva.
• Privilegi di amministratore sul computer.
• Se si usa Criteri di gruppo in un dominio, sono necessari privilegi per creare o modificare un oggetto Criteri di gruppo e collegarlo all'unità organizzativa appropriata.

Configurare il limite della frequenza di autenticazione SMB

L'uso del limite della frequenza di autenticazione SMB consente di impostare un ritardo tra i tentativi di autenticazione non riusciti. È anche possibile abilitare o disabilitare manualmente il limite della frequenza SMB in PowerShell o tramite Criteri di gruppo. Per abilitare il limite della frequenza di autenticazione SMB, eseguire i passaggi.

PowerShell

Ecco come configurare il limite della frequenza di autenticazione SMB usando il cmdlet SmbServerConfiguration in PowerShell.

1. Aprire una finestra di PowerShell come amministratore.

2. Determinare il numero di millisecondi di ritardo desiderato tra ogni tentativo di autenticazione basato su NTLM o PKU2U non riuscito. Il valore predefinito è 2.000 millisecondi (2 secondi). Il valore deve essere un multiplo di 100 con un intervallo consentito compreso tra 0 e 10.000.

3. Per abilitare il limite della frequenza di autenticazione SMB, eseguire il comando seguente.

    Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Milliseconds>
   

Nota

L'impostazione della variabile su 0 disabilita il limite della frequenza di autenticazione SMB.

Per vedere il valore corrente, eseguire il comando seguente:

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

Criteri di gruppo

Ecco come abilitare e disabilitare il limite della frequenza di autenticazione SMB usando Criteri di gruppo per i computer aggiunti a un dominio.

Per configurare il limite della frequenza di autenticazione SMB usando Criteri di gruppo, eseguire questi passaggi.

1. Aprire il Console Gestione criteri di gruppo.
2. Modificare o creare un oggetto Criteri di gruppo da usare.
3. Nell'albero della console selezionare Configurazione computer > Modelli amministrativi > Rete > Server Lanman.
4. Per l'impostazione, fare clic con il pulsante destro del mouse su Abilita limite frequenza di autenticazione e selezionare Modifica.
5. Selezionare Abilitato e selezionare OK.

Ecco un esempio dell'elemento Criteri di gruppo abilitato.

Suggerimento

Per impostare il ritardo di autenticazione non valido, è necessario usare PowerShell.

Il limite della frequenza di autenticazione SMB non interessa Kerberos. Kerberos esegue l'autenticazione prima della connessione di un protocollo dell'applicazione come SMB. Il limite della frequenza di autenticazione SMB è progettato come ulteriore livello di difesa avanzata, in particolare per i dispositivi non aggiunti a domini.

Contenuto correlato

• Limite della frequenza di autenticazione SMB nelle build Insider